Ciao a tutti..
Sto usando due 2821 in glbp come router interni per un po' di vlan. Configurazione molto elementare in quanto in ambito cisco ne so meno di zero, ho aggiunto ip route 0.0.0.0 0.0.0.0 ip_del_firewall per permettere ad ogni macchina di uscire dalla rete interna (hanno come default gateway l'ip della subint -della vlan di appartenenza- definita sui cisco).
Di firewall poi ne ho due, posso definire le cose in modo che un gruppo di ip interni venga instradato sul primo firewall e un altro gruppo sul secondo? Vorrei in sostanza poter cambiare la tabella di routing per un singolo client senza intervenire sul default gateway del client stesso.
Immagino si possa fare senz'altro, ma come? ip route non mi chiede altro che una destinazione.
Grazie mille!
2821 e last resort gateway, è possibile sceglierne + di uno?
Moderatore: Federico.Lagni
-
boobee
- n00b
- Messaggi: 7
- Iscritto il: sab 26 mag , 2007 4:38 pm
Grazie Andrea!
Piu' loquacemente, a chi dovesse interessare:
Creare l'acl:
Creare la route-map:
Poi sull'interfaccia dove transita ip_sorgente
Piu' loquacemente, a chi dovesse interessare:
Creare l'acl:
Codice: Seleziona tutto
access-list 10 permit ip_sorgenteCodice: Seleziona tutto
route-map nome_della_route_map permit 10
match ip address 10
set ip next-hop ip_del_gateway
Codice: Seleziona tutto
ip policy route-map nome_della_route_map
Non potevo toglierti la gioia di scoprirlo con le tue manine ghghggh...-
boobee
- n00b
- Messaggi: 7
- Iscritto il: sab 26 mag , 2007 4:38 pm
ho assolutamente apprezzato il gesto, la gioia nel vederlo funzionare è stata grande, confermo, grazie di nuovo 
MA, visto che ci siamo: ultima domanda da profano, sempre attinente all'oggetto del thread.
Utilizzando questo tipo di policy routing ho potuto specificare l'ip sorgente e l'hop successivo per tutte le destinazioni. Ora, tra le mie route statiche ne ho anche una per una rete (192.168.0.0/24) raggiungibile da un tunnel openvpn (ip route 192.168.0.0 255.255.255.0 10.0.0.2). purtroppo il comando ip route ha perso giustamente priorita' dopo aver aggiunto route-map, c'e' qualcosa da fare nella definizione della route-map stessa?
ho provato a creare una nuova acl definendo la rete remota (acl 11), e ad aggiungerla alla route-map, il risultato e' stato questo e non funge, passa sempre dal primo
la via più semplice sarebbe una route sul primo firewall che inoltri il traffico per la openvpn sul secondo, ma vorrei sapere come poterlo fare direttamente sul 2821!
dimenticavo, mi accontento della parola chiave anche sto giro
grazie 1k
MA, visto che ci siamo: ultima domanda da profano, sempre attinente all'oggetto del thread.
Utilizzando questo tipo di policy routing ho potuto specificare l'ip sorgente e l'hop successivo per tutte le destinazioni. Ora, tra le mie route statiche ne ho anche una per una rete (192.168.0.0/24) raggiungibile da un tunnel openvpn (ip route 192.168.0.0 255.255.255.0 10.0.0.2). purtroppo il comando ip route ha perso giustamente priorita' dopo aver aggiunto route-map, c'e' qualcosa da fare nella definizione della route-map stessa?
ho provato a creare una nuova acl definendo la rete remota (acl 11), e ad aggiungerla alla route-map, il risultato e' stato questo e non funge, passa sempre dal primo
Codice: Seleziona tutto
route-map nome_r_m permit 10
match ip address 10 11
set ip next-hop 10.0.0.1 10.0.0.2dimenticavo, mi accontento della parola chiave anche sto giro
grazie 1k
-
boobee
- n00b
- Messaggi: 7
- Iscritto il: sab 26 mag , 2007 4:38 pm
niente da fare...
dove
- acl 10 è l'ip della mia macchina (10.0.0.116)
- acl 11 è la subnet oltre la openvpn (192.168.0.0/0.0.0.255) ed è raggiungibile da 10.0.0.1 (non 10.0.0.2, mea culpa, ma poco importa credo)
se faccio un pathping su un qualunque host (esterno o la 192 remota) vengo instradato sempre e comunque con la route-map 20 (perche' c'e' il match con l'acl 10, il mio ip di provenienza?), non passo mai dalla route-map 10 che mi serve a raggiungere la 192.
Codice: Seleziona tutto
route-map nome permit 10
match ip address 11
set ip next-hop 10.0.0.1
!
route-map nome permit 20
match ip address 10
set ip next-hop 10.0.0.2- acl 10 è l'ip della mia macchina (10.0.0.116)
- acl 11 è la subnet oltre la openvpn (192.168.0.0/0.0.0.255) ed è raggiungibile da 10.0.0.1 (non 10.0.0.2, mea culpa, ma poco importa credo)
se faccio un pathping su un qualunque host (esterno o la 192 remota) vengo instradato sempre e comunque con la route-map 20 (perche' c'e' il match con l'acl 10, il mio ip di provenienza?), non passo mai dalla route-map 10 che mi serve a raggiungere la 192.
-
boobee
- n00b
- Messaggi: 7
- Iscritto il: sab 26 mag , 2007 4:38 pm
l'ignoranza è proprio brutta...
l'acl era sbagliata, dichiaravo solo l'host di partenza, cosi' invece specifico sorgente e destinazione.
ora funziona, ho tirato via anche le default route cosi' i pacchetti che non trovano riscontro nelle acl vengono cestinati.
grazie
l'acl era sbagliata, dichiaravo solo l'host di partenza, cosi' invece specifico sorgente e destinazione.
Codice: Seleziona tutto
access-list 101 permit ip host 10.0.0.116 host 192.168.0.254grazie
